RotBot Malware
Egy vélhetően Vietnamból származó csoportról kimutatták, hogy legalább 2023 májusa óta különböző ázsiai és délkelet-ázsiai országokban fenyegető szoftverekkel céloz meg egyéneket, amelyek célja értékes információk kinyerése. A CoralRaider néven ismert kiberbiztonsági szakértők szorosan figyelemmel kísérik ezt a műveletet, figyelembe véve annak pénzügyi indítékait. A kampány fókuszpontjai közé tartozik India, Kína, Dél-Korea, Banglades, Pakisztán, Indonézia és Vietnam.
Ez a kiberbűnözői szindikátus a hitelesítő adatok, a pénzügyi nyilvántartások és a közösségi média profilok ellopására specializálódott, beleértve a személyes és üzleti fiókokat is. Arzenáljuk ehhez a konkrét támadáshoz a RotBot, a Quasar RAT testreszabott változata és az XClient lopó. Ezenkívül számos olyan rosszindulatú programot telepítenek, mint például az AsyncRAT , a NetSupport RAT és a Rhadamanthys , amelyek célja a távoli hozzáférés megszerzése és a feltört rendszerekből származó információk elszívása.
Tartalomjegyzék
A kiberbûnözõk arra törekszenek, hogy a kiválasztott célpontokból származó érzékeny információkat kompromittáljanak
A Vietnamból származó támadók jelentős hangsúlyt fektettek az üzleti és hirdetési fiókokba való behatolásra, és különféle lopó rosszindulatú programcsaládokat alkalmaztak, például a Ducktail-t , a NodeStealer-t és a VietCredCare-t , hogy átvegyék az irányítást ezen fiókok felett a későbbi bevételszerzés céljából.
Működési módjuk a Telegram felhasználása az áldozatok gépeiből származó ellopott információk továbbítására, amelyeket aztán titkos piacokon cserélnek ki jogellenes haszonszerzés céljából.
A bizonyítékok arra utalnak, hogy a CoralRaider üzemeltetői Vietnamban találhatók, amint azt a szereplők üzenetei jelzik a Telegram Command and Control (C2) botcsatornáikban, valamint az, hogy a vietnami nyelvet részesítik előnyben a botjaik elnevezésében, a PDB karakterláncaiban és más vietnami kifejezések, amelyek a hasznos tartalom binárisaikban vannak kódolva.
Egy többlépcsős fertőzési lánc fenyegeti a RotBot kártevőket
A támadássorozat egy Windows parancsikonfájllal (LNK) indul, bár a célpontokhoz való terjesztés módja továbbra sem világos. Az LNK-fájl megnyitásakor egy HTML-alkalmazás (HTA) fájl letöltése és végrehajtása történik a támadó által vezérelt szerverről, majd egy beágyazott Visual Basic-szkriptet futtat.
Ez a szkript viszont visszafejti és szekvenciálisan végrehajt három további PowerShell-szkriptet, amelyek felelősek a virtuálisgép- és elemzés-ellenőrzések elvégzéséért, a Windows felhasználói hozzáférés-vezérlésének (UAC) megkerüléséért, a Windows és az alkalmazások értesítéseinek deaktiválásáért, valamint a RotBot letöltéséért és végrehajtásáért.
A RotBot úgy van beállítva, hogy kommunikáljon egy Telegram bottal, lekérve és végrehajtva a memóriában lévő XClient lopó kártevőt. Ez megkönnyíti a cookie-k, hitelesítő adatok és pénzügyi információk ellopását olyan webböngészőkből, mint a Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox és Opera, valamint a Discord és a Telegram adatait, és képernyőképeket készít.
Ezenkívül az XClient célja, hogy adatokat nyerjen ki az áldozatok Facebook-, Instagram-, TikTok- és YouTube-fiókjaiból, és információkat szerezzen a Facebook üzleti és hirdetési fiókjaihoz kapcsolódó fizetési módokról és engedélyekről.
A RotBotot, a Quasar RAT kliens testreszabott változatát kifejezetten ehhez a kampányhoz szabta és állította össze a fenyegetés szereplője. Ezenkívül az XClient kiterjedt információlopási képességekkel büszkélkedhet a bővítménymodulja és a távoli adminisztrációs feladatok végrehajtására szolgáló különféle funkciók révén.
Az infolopók továbbra is jelentős fenyegetést jelentenek, számos ágazatot megcélozva
A Facebookon egy rosszindulatú reklámkampány kihasználja a generatív mesterséges intelligencia-eszközök körüli hírverést, hogy népszerűsítsen különféle információlopókat, mint például a Rilide, a Vidar, az IceRAT és a Nova Stealer nevű újonnan megjelent fenyegetést.
A támadás azzal kezdődik, hogy a fenyegetés szereplője átveszi az irányítást egy meglévő Facebook-fiók felett, és megváltoztatja annak megjelenését, hogy a Google, az OpenAI és a Midjourney népszerű mesterségesintelligencia-eszközeire hasonlítson. Befolyásukat kiterjesztik azzal, hogy szponzorált hirdetéseket jelenítenek meg a platformon.
Például egy Midjourney-nek tűnő hamisított oldal 1,2 millió követőt gyűjtött össze, mielőtt 2023. március 8-án bezárták. Az oldalak mögött álló személyek elsősorban Vietnamban, az Egyesült Államokban, Indonéziában, az Egyesült Királyságban és Ausztráliában voltak, többek között.
Ezek a rosszindulatú reklámkampányok a Meta szponzorált hirdetési rendszerét használják fel a széles körű elterjedtség elérése érdekében, aktívan megcélozva az európai felhasználókat olyan országokban, mint Németország, Lengyelország, Olaszország, Franciaország, Belgium, Spanyolország, Hollandia, Románia, Svédország és azon kívül.
